Votre site utilise des services tiers ? Soyez conforme au RGPD en quelques minutes.
Essayer FlowConsentPlan gratuit · Installation 10 min
YouTube nocookie est le mode d'intégration améliorée pour la confidentialité de Google qui sert les vidéos depuis youtube-nocookie.com sans déposer de cookies traceurs au chargement initial de la page. Les cookies ne s'activent qu'au clic sur la lecture, ce qui en fait l'alternative RGPD conforme privilégiée à l'embed YouTube standard. L'iframe transmet toutefois l'adresse IP du visiteur à Google dès son chargement, raison pour laquelle la CNIL et la plupart des autorités européennes recommandent un consentement préalable. Beaucoup d'éditeurs combinent youtube-nocookie avec une solution en deux clics ou un wrapper click to play pour atteindre une pleine conformité avec la directive ePrivacy et la LIL.
YouTube nocookie désigne le mode d''intégration amélioré pour la confidentialité exploité par Google LLC sur le domaine dédié youtube-nocookie.com. Lorsqu''un éditeur remplace la source www.youtube.com par la variante youtube-nocookie.com, le lecteur diffuse exactement les mêmes vidéos mais supprime les cookies publicitaires et de personnalisation que l''embed classique poserait dès l''affichage. Ce service est proposé gratuitement à tout site qui intègre des vidéos YouTube et est documenté dans le centre d''aide officiel comme option recommandée pour limiter le dépôt de cookies. Il est largement déployé sur les sites de presse, les portails publics, les établissements scolaires et les sites d''entreprise soumis aux exigences strictes des régulateurs européens.
Un embed YouTube standard depuis www.youtube.com dépose des cookies publicitaires tels que VISITOR_INFO1_LIVE, YSC et PREF dès l''affichage de l''iframe. YouTube nocookie supprime ces cookies au chargement initial, si bien qu''un visiteur qui arrive sur une page sans jamais cliquer sur lecture ne laisse aucune empreinte de traçage dans le domaine YouTube. La vignette vidéo, le bouton de lecture et le redimensionnement responsive se comportent de manière identique, ce qui rend la migration quasi transparente pour les équipes éditoriales. Le changement de domaine est la seule modification de code requise et la plupart des CMS l''exposent comme une simple option de configuration.
L''argument confidentialité de YouTube nocookie s''applique strictement à la phase précédant l''interaction. Dès que le visiteur clique sur la lecture ou tout contrôle du lecteur, Google dépose la même famille de cookies que l''embed classique, notamment VISITOR_INFO1_LIVE, YSC, __Secure_YEC, LOGIN_INFO et PREF sur le domaine .youtube.com. L''adresse IP du visiteur est en outre transmise à Google dans tous les cas, même avant le moindre clic, puisque le navigateur doit établir la connexion TLS pour récupérer le HTML de l''iframe, le JavaScript du lecteur et le flux vidéo depuis googlevideo.com. La décision Google Fonts du tribunal régional de Munich et plusieurs jurisprudences similaires rappellent que l''adresse IP seule est une donnée personnelle, ce qui justifie de traiter youtube-nocookie comme un service nécessitant tout de même le consentement.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
La solution allemande dite Zwei Klick Lösung, ou solution en deux clics, reste le schéma le plus défendable pour intégrer YouTube nocookie. La page affiche d''abord une vignette statique et un avis clair indiquant que la vidéo est diffusée par Google. L''iframe réelle n''est créée qu''après acceptation explicite du visiteur. Les plateformes de gestion du consentement modernes proposent des bloqueurs YouTube dédiés qui remplacent l''iframe par un placeholder personnalisé, mémorisent le choix dans une finalité granulaire et rejouent l''interaction dans le lecteur intégré pour éviter au visiteur un double clic sur le bouton lecture. Combiner le domaine nocookie avec une injection différée de l''iframe offre le meilleur des deux mondes, un état par défaut sans flux de données et une expérience fluide une fois le consentement recueilli.
Même s''il est moins intrusif que l''embed classique, youtube-nocookie déclenche un transfert international vers Google LLC aux États Unis. Les responsables de traitement doivent s''appuyer sur le cadre EU US Data Privacy Framework, complété par des clauses contractuelles types pour tout transfert ultérieur, et documenter une analyse d''impact sur les transferts dans leur registre des activités de traitement. Une AIPD complète est appropriée lorsque les vidéos sont intégrées sur des pages santé, finance, religion ou destinées aux enfants, lorsque le volume de vues intégrées est élevé, ou lorsque le service est combiné à Google Analytics et Google Tag Manager. L''AIPD doit décrire les cookies activés à l''interaction, les destinataires dans l''écosystème Google, les durées de conservation et les mesures techniques comme la politique de referrer, les attributs sandbox et les directives Content Security Policy.
Les positions divergent entre autorités de contrôle européennes. La CNIL française, la Datenschutzkonferenz allemande et l''AEPD espagnole considèrent généralement que tout embed renvoyant à Google nécessite un consentement préalable en raison du transfert d''IP et de la forte probabilité d''interaction. Le Garante italien et plusieurs décisions autrichiennes acceptent la variante nocookie comme une option à moindre risque mais exigent une information claire. L''ICO britannique post Brexit applique une approche pragmatique similaire. La règle prudente pour un déploiement pan européen consiste à obtenir le consentement avant création de l''iframe, à documenter la base légale dans la politique de confidentialité et à proposer un lien de repli vers la page YouTube publique pour les visiteurs qui refusent, afin que le contenu éditorial reste accessible sans compromettre la conformité.
Les sites web utilisant YouTube nocookie doivent obtenir le consentement des utilisateurs conformement au RGPD.
Considerations AIPD
Une AIPD est recommandée lorsque youtube-nocookie est utilisé à grande échelle, sur des pages destinées aux mineurs ou aux côtés d'autres services Google. Les risques clés incluent la transmission de l'IP à Google LLC au chargement de l'iframe, l'activation des cookies après interaction et les transferts vers les États Unis sous le cadre EU US Data Privacy Framework. Les mesures de mitigation incluent une solution deux clics qui retarde la création de l'iframe jusqu'au consentement, l'utilisation d'une plateforme de gestion du consentement, la documentation de l'évaluation de transfert et une information transparente sur le rôle de Google.
Exemple de texte de consentement
Cette page contient des vidéos diffusées via YouTube en mode amélioré pour la confidentialité (youtube-nocookie.com), un service exploité par Google LLC. Lorsque vous cliquez sur lecture, Google reçoit votre adresse IP et dépose des cookies sur votre terminal pour diffuser la vidéo, mesurer ses performances et personnaliser les recommandations. En cliquant sur accepter, vous consentez à ce traitement et au transfert de vos données vers les États Unis sous le cadre EU US Data Privacy Framework.
Domaines tiers contactes
youtube-nocookie.comwww.youtube-nocookie.coms.ytimg.comgooglevideo.comi.ytimg.comCookies deposes
| Nom | Type | Duree | Finalite |
|---|---|---|---|
| VISITOR_INFO1_LIVE | third_party | 6 months | Set on the .youtube.com domain only after the visitor interacts with the player. Estimates the visitor bandwidth on pages with integrated YouTube videos and contributes to ad measurement. Not present before the first click on the youtube-nocookie embed. |
| YSC | third_party | session | Set on the .youtube.com domain after interaction. Used by YouTube to keep statistics on viewed videos for the current session. Acts as a session identifier inside the embedded player and is required for playback continuity. Not present before user interaction. |
| __Secure_YEC | third_party | 1 year | Set on the .youtube.com domain after interaction. Used for experiment grouping and the rollout of new player features. Marked Secure and SameSite to limit transmission to HTTPS contexts. Fires only once the visitor has engaged with the player. |
| LOGIN_INFO | third_party | 2 years | Set on the .youtube.com domain when the visitor is signed in to a Google account and interacts with the player. Carries authenticated session tokens for personalised features such as resume playback and watch history. Persistent identifier used across the Google ecosystem. |
| PREF | third_party | 2 years | Set on the .youtube.com domain when the visitor interacts with the player. Stores user preferences such as preferred playback quality, captions language, and player size. Considered a non strictly necessary cookie under the ePrivacy Directive, so consent is required. |
| GPS | third_party | 30 minutes | Set on the .youtube.com domain after interaction on mobile devices. Registers a unique identifier on mobile to track geographical location based on GPS data. Not present before the first user engagement with the youtube-nocookie embed. |
YouTube nocookie utilise des cookies de preferences — informez vos visiteurs avec un bandeau de consentement.
Au chargement initial de la page, l'iframe youtube-nocookie.com ne dépose aucun cookie de traçage, ce qui constitue tout l'intérêt du mode amélioré pour la confidentialité. Dès que le visiteur clique sur lecture ou interagit avec le lecteur, Google dépose les mêmes cookies que l'embed classique sur le domaine .youtube.com, notamment VISITOR_INFO1_LIVE pour l'identification du visiteur, YSC pour les mesures de session, __Secure_YEC pour le suivi des expérimentations, LOGIN_INFO pour les utilisateurs connectés et PREF pour la conservation des préférences. Les durées de vie vont de la session à deux ans, l'empreinte post interaction est donc significative.
Dans la plupart des juridictions européennes, la réponse prudente est oui, même si Google qualifie ce mode d'amélioré pour la confidentialité. L'iframe transmet l'adresse IP du visiteur à Google aux États Unis dès son chargement, ce que la CNIL, la DSK allemande et l'AEPD considèrent comme un traitement de données personnelles qui requiert le consentement ou une autre base légale valable. Les cookies sont déposés à l'interaction, ce qui déclenche en outre l'article 5(3) de la directive ePrivacy. Le défaut défensif consiste à obtenir un consentement opt in préalable avant la création de l'iframe, typiquement via une solution deux clics couplée à une plateforme de gestion du consentement.
La base légale recommandée sous le RGPD est le consentement de l'article 6(1)(a), aligné avec l'article 5(3) de la directive ePrivacy pour les cookies déposés à l'interaction. Certains responsables invoquent l'intérêt légitime de l'article 6(1)(f) pour le seul chargement de l'iframe sans cookie, au motif qu'aucun identifiant n'est posé à ce stade. Cet argument est affaibli par le transfert d'IP vers Google LLC et la forte probabilité de clic, raison pour laquelle la plupart des conseils juridiques recommandent de traiter l'embed comme un traitement fondé sur le consentement dès le départ. La base choisie doit être documentée dans le registre des traitements et mentionnée dans la politique de confidentialité.
Oui. L'hôte youtube-nocookie.com est exploité par Google LLC et le flux vidéo est délivré depuis les serveurs googlevideo.com aux États Unis et dans d'autres régions via le réseau de diffusion mondial de Google. Le transfert s'appuie sur la décision d'adéquation EU US Data Privacy Framework adoptée par la Commission européenne en juillet 2023, complétée par les clauses contractuelles types pour tout transfert ultérieur. Les responsables doivent réaliser une analyse d'impact des transferts qui documente les garanties appliquées par Google, dont le chiffrement en transit, les contrôles d'accès et le mécanisme de recours offert aux personnes concernées de l'UE au titre du Framework.
Une AIPD n'est pas automatiquement requise pour tout site qui intègre youtube-nocookie, mais elle est fortement recommandée dans plusieurs cas. Ces cas incluent l'intégration sur des pages destinées aux mineurs, sur des contenus santé, finance ou religion, sur des sites à très fort trafic, ou lorsque le service est combiné à d'autres produits Google comme Analytics, Ads ou Tag Manager. L'AIPD doit décrire les cookies activés à l'interaction, le transfert international vers Google LLC, les catégories de personnes concernées, les durées de conservation et les mesures de mitigation telles que la solution deux clics, les attributs sandbox et une politique Content Security Policy stricte.
Remplacez la source iframe de www.youtube.com par www.youtube-nocookie.com, puis bloquez l'injection de l'iframe jusqu'à un consentement explicite. La solution deux clics affiche d'abord une vignette statique et un avis qui explique le rôle de Google et le transfert d'IP. Le premier clic charge l'iframe réelle, le second clic démarre la vidéo. Les plateformes modernes de gestion du consentement automatisent ce schéma via des bloqueurs YouTube dédiés intégrés à l'état du consentement, sans script JavaScript personnalisé. Ajoutez les attributs referrerpolicy, sandbox et loading sur l'iframe pour durcir l'intégration et documentez le motif retenu dans la politique de confidentialité.
Plusieurs alternatives existent selon les besoins. PeerTube est une plateforme vidéo fédérée et auto hébergée fondée sur ActivityPub qui conserve toutes les données sur une infrastructure contrôlée par l'éditeur. Vimeo propose un mode Do Not Track et une offre entreprise qui désactive les traceurs publicitaires tiers. La balise vidéo HTML5 native servie depuis votre propre CDN offre un contrôle total sur l'hébergement, les cookies et les transferts mais demande plus de bande passante et de transcodage. Pour le contenu audio, un lecteur auto hébergé ou des services comme Spreaker peuvent remplacer YouTube. Le bon choix dépend du volume de trafic, du flux éditorial et du niveau d'analytique requis.
Ajoutez une section dédiée dans la politique cookies qui nomme Google LLC comme opérateur, liste les cookies déposés à l'interaction avec leurs durées et finalités, décrit la transmission d'IP qui a lieu au chargement de l'iframe et explique la base légale choisie. Mentionnez le transfert international vers les États Unis sous le cadre EU US Data Privacy Framework et renvoyez vers la politique de confidentialité de Google. Indiquez la procédure de retrait du consentement via la plateforme de gestion du consentement et un lien de repli vers la page YouTube publique pour les visiteurs qui refusent. Mettez à jour le registre des traitements et révisez la politique chaque fois que Google modifie l'inventaire des cookies.